Есть сеть из множества компьютеров и сетевых принтеров/МФУ.
Zabbix (монитор серверов/компьютеров) зафиксировал исчезновение их под контроля серверов.
Ситуация была такова - периодически пропадали пинги в сети до 10 пингов подряд, у юзверей пропадали сетевые диски, клиенты теряли связь с БД.
После долгих попыток локализации причины выяснилось, что причиной атаки был МФУ !!!!!!!!!!!!!
В состоянии "сна" эта железяка слала в сеть какие-то пакеты от которых "рвало крышу" у всех свитчей !!!!!!!!
Один свитч (отвечающий за подключения iLO) вообще был в дауне и к iLO не было доступа  !!!!!!!!! Вот это атака, так атака :)
После выключения/включения ситуация нормализовалась.
Кто нибудь встречался с подобным ?
Жалею об одном, не было под рукой "снифера" и ситуация не для долгого раздумья :(

• DoS атака от МФУ KONICA MINOLTA 211,McLeod095, 11:27 , 01-Авг-14
  • DoS атака от МФУ KONICA MINOLTA 211,StainlessRat, 12:21 , 01-Авг-14
• DoS атака от МФУ KONICA MINOLTA 211,alecx_, 15:54 , 01-Авг-14
• DoS атака от МФУ KONICA MINOLTA 211,Etch, 11:43 , 02-Авг-14
  • DoS атака от МФУ KONICA MINOLTA 211,StainlessRat, 13:08 , 27-Авг-14

>[оверквотинг удален]
> После долгих попыток локализации причины выяснилось, что причиной атаки был МФУ !!!!!!!!!!!!!
> В состоянии "сна" эта железяка слала в сеть какие-то пакеты от которых
> "рвало крышу" у всех свитчей !!!!!!!!
> Один свитч (отвечающий за подключения iLO) вообще был в дауне и к
> iLO не было доступа  !!!!!!!!! Вот это атака, так атака
> :)
> После выключения/включения ситуация нормализовалась.
> Кто нибудь встречался с подобным ?
> Жалею об одном, не было под рукой "снифера" и ситуация не для
> долгого раздумья :(

похожая ситуация.
все ложится если воткнуть второй линк от асы в свитч. Через некоторое время сеть ложится.
Дело в том что организация переходит на новое адресное пространство, и на время на асе создан второй линк с адресом из этой сети. Сети не поделены на влан. И вот при таком кольце начинается падение. Грешу на broadcast который аса скорее всего пересылает из одной сети в другую т.к там разрешено все. Как победить пока не понял.

> похожая ситуация.
> все ложится если воткнуть второй линк от асы в свитч. Через некоторое
> время сеть ложится.
> Дело в том что организация переходит на новое адресное пространство, и на
> время на асе создан второй линк с адресом из этой сети.
> Сети не поделены на влан. И вот при таком кольце начинается
> падение. Грешу на broadcast который аса скорее всего пересылает из одной
> сети в другую т.к там разрешено все. Как победить пока не
> понял.

В том то и "фишка", что никто ничего не делал, и проблема решилась после перезапуска МФУ. Его вычислили простым отключение кабелей от свитча на этаже :)

>[оверквотинг удален]
> После долгих попыток локализации причины выяснилось, что причиной атаки был МФУ !!!!!!!!!!!!!
> В состоянии "сна" эта железяка слала в сеть какие-то пакеты от которых
> "рвало крышу" у всех свитчей !!!!!!!!
> Один свитч (отвечающий за подключения iLO) вообще был в дауне и к
> iLO не было доступа  !!!!!!!!! Вот это атака, так атака
> :)
> После выключения/включения ситуация нормализовалась.
> Кто нибудь встречался с подобным ?
> Жалею об одном, не было под рукой "снифера" и ситуация не для
> долгого раздумья :(

Проблемный МФУ только 1 или все?

Возможно вот эта ссылка натолкнёт на мысли: http://habrahabr.ru/post/50690/

> Возможно вот эта ссылка натолкнёт на мысли: http://habrahabr.ru/post/50690/

Да, очень похоже.